anton.ya

Если дома уже есть Proxmox, контейнеры, reverse proxy и несколько публичных сервисов, держать всё в одной плоской сети быстро становится неудобно. На своём Keenetic Giant (KN-2610) я разнес инфраструктуру на отдельные сегменты: домашнюю сеть, серверную VLAN и отдельную DMZ.

Эта схема получилась практичной: домашние устройства живут в своей подсети, серверы в своей, а отдельный сегмент можно использовать под DMZ, тесты или сервисы с более жёсткой сетевой политикой.

Исходная схема

На роутере сейчас используются такие сети:

• 192.168.1.0/24 — домашняя сеть
• 10.22.2.0/24 — серверный сегмент
• 10.22.3.0/24 — DMZ

На стороне Keenetic это выглядит так:

• Bridge0 (Home) -> 192.168.1.1/24
• Bridge2 (servers) -> 10.22.2.1/24
• Bridge3 (dmz) -> 10.22.3.1/24

Транспорт для серверных сегментов сделан через VLAN:

• VLAN 20 -> серверы
• VLAN 30 -> DMZ

Порт 5 на роутере переведён в trunk и несёт:

• native/access: VLAN 1
• tagged: VLAN 20
• tagged: VLAN 30

То есть один физический линк уходит в сторону серверного железа, а дальше уже Proxmox или другой хост разводит нужные bridge/vlan-интерфейсы.

Почему это удобно

Практический выигрыш у такой схемы сразу заметен:

• проще понимать, где живут пользовательские устройства, а где инфраструктура
• проще строить правила доступа между сегментами
• проще держать Traefik, AdGuard, Grafana, OpenClaw и другие сервисы отдельно от домашних клиентов
• проще потом подключать VPN и выдавать доступ не ко всему дому, а только к нужным сетям

Если коротко: сеть становится не «больше», а понятнее.

Что настроено на порту роутера

На Keenetic порт 5 сейчас фактически работает так:

interface GigabitEthernet0/4
    rename 5
    switchport mode trunk
    switchport access vlan 1
    switchport trunk vlan 20
    switchport trunk vlan 30

Это означает:

• обычная домашняя сеть по умолчанию остаётся в VLAN 1
• серверный трафик идёт с тегом 20
• DMZ идёт с тегом 30

Если на другом конце стоит Proxmox, дальше уже можно развести:

• bridge для обычной LAN
• bridge/vlan-aware для VLAN 20
• bridge/vlan-aware для VLAN 30

Как собраны сегменты на Keenetic

В реальной конфигурации это выглядит так:

• Bridge0 включает домашний VLAN и Wi-Fi
• Bridge2 включает GigabitEthernet0/Vlan20
• Bridge3 включает GigabitEthernet0/Vlan30

Именно так получаются отдельные L3-сети на одном роутере.

Схематично:

Home     -> Bridge0 -> 192.168.1.1/24
Servers  -> Bridge2 -> 10.22.2.1/24
DMZ      -> Bridge3 -> 10.22.3.1/24

Что важно не сломать

Есть несколько моментов, на которых чаще всего ломают сетку:

• не перепутать access и trunk на порту, который идёт в сервер
• не забыть, что Wi-Fi обычно остаётся в домашнем bridge, а не в серверных VLAN
• не плодить одинаковые VLAN ID без понимания аппаратных ограничений модели
• не мешать домашнюю подсеть и серверный сегмент в один bridge

Для Keenetic Giant это особенно удобно, потому что модель нормально подходит для такой домашней серверной топологии.

Где это особенно полезно

Такая схема хорошо заходит, если дома уже есть:

• Proxmox
• LXC-контейнеры
• Traefik
• AdGuard Home
• Grafana
• Vaultwarden
• VPN для удалённого доступа

В этом случае серверный сегмент становится не «лишним усложнением», а нормальной основой для порядка.

Практический итог

Если хочется аккуратно разнести домашние устройства, серверы и DMZ на Keenetic, самый удобный путь такой:

1. оставить домашнюю сеть в 192.168.1.0/24
2. завести отдельный bridge под серверы
3. повесить на него VLAN 20
4. завести отдельный bridge под DMZ
5. повесить на него VLAN 30
6. вывести эти VLAN через trunk-порт в сторону Proxmox или другого сервера

Именно эта схема у меня сейчас и работает.

Источники

• Официальная документация Keenetic по WireGuard и сетевой логике: https://help.keenetic.com/
• Заметка Keenetic про ограничения одинаковых VLAN ID на некоторых моделях: https://help.keenetic.com/hc/ru/articles/18318010520092

Когда дома уже есть Proxmox, Grafana, AdGuard, внутренние панели и SSH, очень быстро приходит мысль: хватит держать админку наружу, пора заходить через VPN. В моём случае для этого подошёл самый прямой вариант — WireGuard прямо на роутере Keenetic Giant.

Такой подход удобен по двум причинам:

• VPN поднимается на входной точке сети, а не на одном из серверов
• после подключения клиент сразу видит домашние сегменты так, будто он дома

Что использовалось

Реальная база такая:

• роутер: Keenetic Giant (KN-2610)
• версия: KeeneticOS 5.00.C.8.0-1
• VPN-сеть: 10.66.66.0/24
• адрес роутера внутри туннеля: 10.66.66.1
• порт WireGuard: 51820

Сейчас интерфейс на роутере выглядит так:

interface Wireguard0
    description WG-Server
    security-level private
    ip address 10.66.66.1 255.255.255.0
    ip mtu 1324
    wireguard listen-port 51820

Почему WireGuard лучше поднимать на роутере

До этого я рассматривал три варианта:

• на Keenetic
• на Proxmox
• на внешнем сервере

В итоге роутер победил, потому что:

• он и так является точкой входа в домашнюю сеть
• не нужно отдельно думать, как добраться до 192.168.1.0/24, 10.22.2.0/24 и 10.22.3.0/24
• если подключился к VPN, ты уже внутри нужной топологии

Для удалённого администрирования с телефона и планшета это самый логичный вариант.

Какие сети я пускаю через туннель

У меня через WireGuard нужны такие сегменты:

• 192.168.1.0/24 — основная домашняя сеть
• 10.22.2.0/24 — серверный сегмент
• 10.22.3.0/24 — DMZ
• 10.66.66.0/24 — сама VPN-сеть

На стороне роутера это отражено и в маршрутах, и в allowed-ips пира:

wireguard peer 
    allow-ips 10.66.66.2 255.255.255.255
    allow-ips 192.168.1.0 255.255.255.0
    allow-ips 10.22.2.0 255.255.255.0
    allow-ips 10.22.3.0 255.255.255.0

И отдельными маршрутами:

ip route 192.168.1.0 255.255.255.0 Wireguard0 auto
ip route 10.22.2.0 255.255.255.0 Wireguard0 auto
ip route 10.22.3.0 255.255.255.0 Wireguard0 auto

Важный момент про private-сегменты

На Keenetic очень легко споткнуться о внутреннюю логику security-level private.

У меня сейчас включено:

isolate-private

Это значит, что просто поднять WireGuard мало. Если домашняя сеть, серверный сегмент и VPN-подсеть помечены как private, доступ между ними нужно осознанно разрешать правилами межсетевого экрана.

То есть реальная схема такая:

1. поднимаем WireGuard
2. выдаём клиенту адрес, например 10.66.66.2/32
3. добавляем маршруты
4. отдельно настраиваем firewall rules между Wireguard0 и нужными сегментами

Именно на этом месте чаще всего кажется, что VPN «не работает», хотя на самом деле не хватает правил между сегментами.

Как понять, что туннель жив

Самая полезная проверка на Keenetic:

show interface Wireguard0

Если всё хорошо, там видно:

• link: up
• connected: yes
• state: up
• status: up
• у пира online: yes
• растут rxbytes/txbytes
• есть last-handshake

У меня в рабочем состоянии это выглядит именно так.

Что проверять после первого подключения

После первого успешного рукопожатия я проверяю не «вообще интернет», а конкретные вещи:

• пингуется ли 10.66.66.1
• пингуется ли 192.168.1.16 (Proxmox)
• открывается ли нужная внутренняя админка
• работают ли внутренние DNS-имена

Так быстрее понять, где проблема:

• в самом туннеле
• в маршрутах
• в DNS
• или уже в firewall rules между сегментами

Практический итог

Если нужен удалённый доступ в домашнюю серверную инфраструктуру, WireGuard на Keenetic — отличный вариант:

• быстрый
• простой
• хорошо подходит для планшета и телефона
• не требует городить отдельный VPN-сервер в Proxmox

Но есть один важный нюанс: если у тебя сеть уже разделена на несколько private-сегментов, обязательно планируй правила между ними. Иначе туннель будет «поднят», а доступ до серверов всё равно не появится.

Источники

• WireGuard VPN на Keenetic: https://help.keenetic.com/hc/ru/articles/360010592379-WireGuard-VPN
• Доступ в Интернет через WireGuard-туннель: https://help.keenetic.com/hc/ru/articles/360010551419

Когда VPN-сервер на Keenetic уже поднят, следующий шаг очевиден: подключить планшет так, чтобы с него можно было открыть Proxmox, Grafana, AdGuard, Vaultwarden и остальные внутренние сервисы.

Я настраивал это для Android-планшета и опирался на обычный клиент WireGuard.

Схема клиента

У меня клиент-планшет получает адрес:

• 10.66.66.2/32

Сервер WireGuard на роутере:

• 10.66.66.1

Через туннель нужны такие сети:

• 192.168.1.0/24
• 10.22.2.0/24
• 10.22.3.0/24
• 10.66.66.0/24

Рабочий клиентский конфиг

Ниже пример конфига в том виде, как его удобно импортировать в приложение WireGuard на Android. Приватный ключ клиента здесь нужно подставлять свой.

[Interface]
PrivateKey = 
Address = 10.66.66.2/32
DNS = 10.22.2.11

[Peer]
PublicKey = 
Endpoint = :51820
AllowedIPs = 192.168.1.0/24, 10.22.2.0/24, 10.22.3.0/24, 10.66.66.0/24
PersistentKeepalive = 25

Смысл параметров:

• Address — адрес планшета внутри VPN
• DNS — внутренний DNS, если нужны домашние доменные имена
• Endpoint — внешний адрес роутера
• AllowedIPs — какие сети должны ходить через VPN
• PersistentKeepalive = 25 — полезно для мобильной сети и NAT

Зачем тут внутренний DNS

Если хочешь на планшете открывать не только IP, но и внутренние имена, клиенту нужно выдать DNS-сервер из домашней инфраструктуры.

В моём случае это:

• 10.22.2.11 (AdGuard Home)

Тогда планшет может резолвить домены вроде:

• grafana.scam-dev.ru
• ad.scam-dev.ru
• openclaw.scam-dev.ru

Но важно помнить: сам DNS не поможет, если между WireGuard и нужными сегментами нет firewall rules.

Как проверить, что планшет действительно подключился

На практике я проверяю четыре простые вещи:

1. Поднялся ли интерфейс tun0
2. Пингуется ли 10.66.66.1
3. Пингуется ли 192.168.1.16
4. Открываются ли внутренние сервисы по IP или имени

Если первые два пункта работают, сам туннель уже жив.

Где обычно ломается схема

В реальной жизни проблемы почти всегда не в самом WireGuard, а в одном из таких мест:

• неверный Endpoint
• не тот публичный ключ сервера
• забыли PersistentKeepalive
• неверный AllowedIPs
• не настроены правила между Wireguard0 и private-сегментами
• клиент получил VPN, но не имеет доступа к нужным сетям
• Android использует не тот DNS или его надо прописать явно

То есть если на планшете поднялся tun0, но Proxmox не открывается, не надо сразу обвинять WireGuard. Чаще всего надо смотреть:

• маршруты
• firewall на роутере
• сегментацию сети

Что я бы советовал для администрирования

Для планшета удобнее всего использовать такую модель:

• VPN поднимается на роутере
• через туннель доступны все нужные внутренние сегменты
• админки открываются через браузер
• SSH идёт через отдельный клиент
• пароли живут в Vaultwarden или Bitwarden

Так получается нормальный мобильный админский набор, а не случайный доступ «по открытым наружу портам».

Практический итог

Если хочешь администрировать домашний стек с Android-планшета, достаточно:

1. поднять WireGuard на Keenetic
2. выдать планшету отдельный клиентский ключ
3. задать ему адрес в 10.66.66.0/24
4. включить маршруты до нужных локальных сетей
5. при необходимости прописать внутренний DNS
6. не забыть про firewall rules между Wireguard0 и private-сегментами

После этого планшет становится полноценной админской точкой доступа.

Источники

• Подключение по WireGuard VPN из Android: https://help.keenetic.com/hc/ru/articles/360010304780
• WireGuard VPN на Keenetic: https://help.keenetic.com/hc/ru/articles/360010592379-WireGuard-VPN